Toen COVID bedrijven over de hele wereld trof en winkels gesloten waren of geen contant geld meer accepteerden als betaalmethode, zagen we een dramatische toename van het datavolume van betaalkaarten. Fast-forward naar vandaag, en het volume van online transacties en
gebruik van point-of-sale machines blijft stijgen. Aangezien de meeste gegevens in de cloud worden bewaard, nemen de kansen voor cyberaanvallen tegelijkertijd toe, wat betekent dat de vorige versie van de Payment Card Industry Data Security Standard (PCI DSS)
is niet meer voldoende.
Sinds 2004 zorgt de PCI DSS ervoor dat organisaties die creditcardgegevens verwerken of opslaan dit veilig kunnen doen. Na de pandemie was de richtlijn voor beveiligingscontroles dringend aan een update toe. Dit is wanneer de nieuwe versie – PCI DSS v4.0 –
werd aangekondigd. Hoewel bedrijven twee jaar de tijd hebben om hun implementatie te plannen, moeten de meeste financiële bedrijven tegen maart 2025 alles op orde hebben. Het risico bestaat echter dat er gewerkt wordt aan een lange termijn deadline, aangezien dit geen gevoel van urgentie creëert, en veel
van de beveiligingsupdates die in de nieuwe standaard zijn opgenomen, zijn praktijken die bedrijven al hadden moeten implementeren.
Bijvoorbeeld: “8.3.6 – Minimumniveau van complexiteit voor wachtwoorden bij gebruik als authenticatiefactor” of “5.4.1 – Er zijn mechanismen aanwezig om personeel te detecteren en te beschermen tegen phishing-aanvallen” worden vermeld als “niet-dringende updates om te implementeren over 36 maanden".
Met het hoge niveau van cyberdreigingen na het Russisch-Oekraïense conflict, is dit tijdsbestek niet snel genoeg om het niveau van cyberbescherming te verhogen dat nodig is voor financiële instellingen en retailbedrijven, wat een reële bedreiging vormt voor klantgegevens en privacy.
Om het nog verder uit te splitsen, zijn er enkele belangrijke en interessante cijfers die zowel de reikwijdte als de beperkingen illustreren:
-
51 en 2025 illustreren de kernproblemen rond PCI DSS V4.0 - 51 is het aantal voorgestelde wijzigingen dat tussen nu en 2025 wordt geclassificeerd als "best practice", wanneer ze worden afgedwongen, wat drie jaar verwijderd is!
Laten we eens nader kijken naar de 13 onmiddellijke wijzigingen voor alle V4.0-beoordelingen, waaronder items als "Rollen en verantwoordelijkheden voor het uitvoeren van activiteiten zijn gedocumenteerd, toegewezen en begrepen". Deze omvatten 10 van de 13 onmiddellijke wijzigingen, wat betekent:
het grootste deel van de "dringende updates" zijn in feite verantwoordingspunten, waar bedrijven accepteren dat ze iets zouden moeten doen.
En laten we nu eens kijken naar de updates die "tegen maart 2025 van kracht moeten zijn":
-
5.3.3: Anti-malware scans worden uitgevoerd wanneer verwisselbare elektronische media in gebruik zijn
-
5.4.1: Er zijn mechanismen aanwezig om personeel op te sporen en te beschermen tegen phishing-aanvallen.
-
7.2.4: Controleer alle gebruikersaccounts en gerelateerde toegangsrechten op de juiste manier.
-
8.3.6: Minimale complexiteit voor wachtwoorden bij gebruik als authenticatiefactor.
-
8.4.2: Multi-factor authenticatie voor alle toegang tot de CDE (Cardholder data environment)
-
10.7.3: Er wordt snel gereageerd op storingen van kritieke beveiligingscontrolesystemen
Dit zijn slechts zes van de 51 "niet-dringende" updates, en ik vind het ongelooflijk dat de detectie van phishing-aanvallen en het gebruik van anti-malware scans deel uitmaken van die lijst. Vandaag de dag, met phishing-aanvallen op een recordhoogte, zou ik elke wereldwijde financiële
instelling met gevoelige gegevens om te beschermen om deze als essentiële vereisten te hebben, niet iets om over drie jaar te hebben.
Ondanks de dreiging van hoge boetes en het risico dat creditcards als betaalmiddel worden ingetrokken als organisaties zich niet aan de PCI-normen houden, zijn er tot nu toe slechts enkele boetes uitgedeeld. Nog drie jaar wachten om de nieuwe vereisten te implementeren
vervat in V4.0 lijkt een gebrek aan eigendom te impliceren dat sommige van de veranderingen verdienen en veel te riskant is.
Ik begrijp dat dit niet betekent dat bedrijven sommige of alle updates nog niet hebben geïmplementeerd. Voor degenen die dat niet hebben gedaan, vereist het uitvoeren van die updates echter investeringen en planning, en voor deze doeleinden moet PCI DSS V4.0 specifieker zijn.
Als er bijvoorbeeld 'snel' moet worden gereageerd op beveiligingsstoringen, betekent dat dan 24 uur, 24 dagen of 24 maanden? Ik ben van mening dat belanghebbenden veel beter gediend zouden zijn met meer specifieke deadlines.
Hoewel PCI DSS V4.0 een goede basis vormt om de standaard vooruit te helpen, had deze met grotere urgentie moeten worden geïmplementeerd. Toegegeven, er zijn veel veranderingen die moeten worden aangepakt, maar een betere strategie zou zijn om een gefaseerde aanpak te hanteren, dat wil zeggen prioriteit te geven aan veranderingen
onmiddellijk vereist, over 12 maanden, 24 maanden en 36 maanden, in plaats van te zeggen dat ze allemaal over drie jaar van kracht moeten zijn.
Zonder deze begeleiding is het waarschijnlijk dat sommige organisaties deze projecten zullen opschorten om over twee jaar te worden bekeken wanneer de deadline voor het implementatieplan nadert. In een tijdperk waarin criminaliteit met betaalkaarten een alomtegenwoordig risico blijft, is er echter weinig
te winnen bij uitstel.
- mier financieel
- blockchain
- blockchain conferentie fintech
- klokkenspel fintech
- coinbase
- vindingrijk
- crypto conferentie fintech
- FinTech
- fintech-app
- fintech innovatie
- Fintextra
- Open zee
- PayPal
- Paytech
- betaalmiddel
- Plato
- plato ai
- Plato gegevensintelligentie
- PlatoData
- platogamen
- scheermes betalen
- Revolut
- Ripple
- vierkante fintech
- streep
- tencent fintech
- Xero
- zephyrnet
